На новом сервере Ubuntu 20.04 мне не удалось создать зашифрованный раздел с помощью «RAID + LVM» . Процесс установки завершился правильно, но при запуске GRUB не был найден, и я был перенаправлен в «GRUB minimal bash» .
Здесь я опишу, как я действовал во время установки. Во-первых, я подготовил оба жестких диска (в моем случае SSD), используя «GParted Live» (я создал загрузочный USB-накопитель с GParted ISO):
Затем, используя «Пользовательский макет хранилища» во время установки Ubuntu Server 20.04:
Я проверил , что оба диска будут «добавлены в качестве загрузочного диска»
, а затем с помощью «Создать программный RAID (md)» я создал новый том «md0» (всегда активен)
, а затем я создал еще один «RAID md» том (всегда активен)
В этот раз я выбрал «Создать том LVM» , выбрал раздел «md0» и назначил ему парольную фразу.
Я снова выбрал «Создать том LVM» , выбрал раздел «md1» и назначил парольную фразу.
Теперь я выбрал раздел «vg0» и выбрал «Добавить раздел GPT», а затем выбрал «Создать логический том» и смонтировать на «/»
Подобные вещи для Раздел «vg1» , в котором я выбираю «Добавить раздел GPT», а затем выбираю «Создать логический том» и монтирую его в «/ home»
. После этого выбираю «готово» и завершил установку
После перезагрузки ОС вошла в "GRUB minimal bash"
Что не так?
Спасибо
Спасибо @jdurston за ответ, Я смог установить Ubuntu 20.04 с RAID 1 и зашифрованными дисками таким образом.
Я подготовил оба жестких диска, используя "GParted Live" (я создал загрузочный USB с GParted ISO):
Диск 1:
Диск 2:
Затем, используя "Пользовательскую схему хранения" во время Ubuntu Server 20.04 установка:
я выбираю только один диск для "добавления в качестве загрузочного диска";
, а затем с помощью «Создать программный RAID (md)» я создал новый том «md0» (всегда активный), выбрав оба раздела по 10 ГБ;
, а затем я создал еще один том "RAID md" (всегда активный), выбрав оба оставшихся раздела по 222 ГБ;
затем я выбрал "Создать том LVM" и выбрал раздел размером 512 МБ (ранее называвшийся /boot) и оставив его незашифрованным;
Я снова выбрал "Создать том LVM", выбрал раздел "md0" и назначил ему парольную фразу;
затем я снова выбрал "Создать том LVM" и выбрал раздел "md1" и назначил ему парольную фразу;
Я выбрал раздел "vg0" и выбрал "Добавить раздел GPT", затем я выбрал "Создать логический том" и смонтировать на "/boot";
затем я выбрал раздел "vg1" и выбрал "Добавить раздел GPT", затем я выбрал "Создать логический том" и смонтировать на "/";
То же самое для раздела "vg2", где я выбираю "Добавить раздел GPT" и выбираю "Создать логический том" и монтирую в "/home";
После этого я выбираю "готово" и завершаю установку;
После перезагрузки GRUB заработал корректно!
Я прилагаю два изображения из «Конфигурации хранилища» Ubuntu 20.04, на первом изображении вы увидите ситуацию до создания RAID (после модов GParted), а на втором изображении вы увидите окончательную ситуацию до нажатия «Готово».
Изображение 1, до создания RAID:
Изображение 2, после создания RAID:
У меня возникла аналогичная проблема. После того, как мне не повезло с различными перестановками в виртуальной машине, я наткнулся на эту ветку на Reddit , где пользователь wRAR_ говорит: «[Установщик Debian] в настоящее время не поддерживает зашифрованную / загрузку». Ubuntu основан на Debian; Не знаю, насколько похожи установщики, но я тестировал оба на ВМ, с шифрованием /boot
и без него. Оба не смогли загрузиться, представив оболочку GRUB, которую вы описываете в своем вопросе.
ПРИМЕЧАНИЕ: Назначение зашифрованной области в качестве точки монтирования для /
, а не назначение отдельной точки монтирования /boot
, означает, что /boot
будет находиться под этим зашифрованным /
.
В общих чертах это означает, что если нам нужен какой-то зашифрованный LVM поверх RAID, есть два варианта:
Вариант 1 — то, что я выбрал, и он более удобен для новичков, поскольку его можно выполнить. со стандартным установщиком Ubuntu.
Зашифровать все, кроме /boot и /boot/efi
Все пользовательские данные будут зашифрованы, но все содержимое /boot
(а не только /boot/efi
) не буду.
Схема разделов, которую вы описываете, отличается, но главное, чтобы это работало, /boot
не должен находиться на зашифрованном разделе.
Я использовал следующую схему разделов:
Мой зашифрованный LVM на схеме разделов RAID1
Мне удалось выполнить все это в программе установки:
sda1: 512M /boot/efi
sdb1: 512M /boot
sda2 и sdb2: массив RAID1 md0
md0: зашифрованный том dm_crypt-0
dm-_crypt-0: логический том vg0-lv--0 для /
dm-_crypt-0: логический том vg0-lv--1 для /srv
Конечно, вы можете выбрать любые логические тома внутри группы томов: у меня есть отдельный /srv для настройки сервера.
Небольшое преимущество такой установки заключается в том, что она использует оба незашифрованных пространства объемом 512 МБ (в отличие от типичной схемы зашифрованного LVM на RAID1) с незашифрованным только разделом efi. Это не идеально, но я протестировал его, и у меня он сработал.*
Вариант 2:
Может быть способ обойти установщик, не поддерживающий шифрование /boot
, выйдя из оболочки, отредактировав некоторые файлы конфигурации и переустановив GRUB, среди прочего. В этом сообщении в блоге есть некоторые инструкции, но я им не следовал.
*(Хотя я должен сказать, что меню разбиения на разделы программы установки показалось мне местами немного неудобным — кажется, что оно автоматически захватывает определенное неформатированное пространство, предполагая, что оно может использовать его в качестве раздела EFI; но с небольшой «игрой» параметров, которые я добрался в итоге)
Я предлагаю другой подход.
Это правда, что вы не можете настроить сначала grub для активации и загрузки с зашифрованного раздела (хотя вы можете сделать это insmod и настроить grub...). Поэтому предлагаю следующую схему настройки:
md0: LVM с LUKS (на уровне VG, не нашел как это сделать на уровне LV с помощью установщика) /, /var, ...
md1: /boot (просто загрузитесь прямо в раздел)
Сделав это, вы получите другую конфигурацию раздела/RAID для /boot и зашифрованных разделов. Не забудьте впоследствии установить grub на sdb на случай, если ваш sda выйдет из строя.